亚洲国产精品不卡毛片a在线,亚洲欧美日韩在线线精品,国产精品视频久久

前言：本站為你精心整理了入侵檢測對象應用范文，希望能為你的創作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

入侵檢測對象應用

摘要在入侵檢測系統設計原理的基礎上，結合各類分布式入侵檢測系統及各系統內構件之間信息共享的需求，通過分析CISL語言的特點，描述了CISL語言用以表示通用入侵檢測對象(GIDO)的生成規則，并以Linux系統審計日志中檢測口令猜測攻擊的內容演示了通用入侵檢測對象的生成，編碼等應用過程，最后給出一個模擬結果。

關鍵詞入侵檢測；通用入侵檢測對象；通用入侵描述語言；語義標識符

1引言

計算機網絡在我們的日常生活中扮演著越來越重要的角色，與此同時，出于各種目的，它正日益成為犯罪分子攻擊的目標，黑客們試圖使用他們所能找到的方法侵入他人的系統。為此，我們必須采取有效地對策以阻止這類犯罪發生。開發具有嚴格審計機制的安全操作系統是一種可行方案，然而綜合考慮其實現代價，在許多問題上作出少許讓步以換取減少系統實現的難度卻又是必要的。因此，在操作系統之上，再加一層專門用于安全防范的應用系統成為人們追求的目標。入侵檢測技術即是這樣一種技術，它和其它安全技術一道構成計算機系統安全防線的重要組成部分。自從DorothyE.Denning1987年提出入侵檢測的理論模型后[1]，關于入侵檢測的研究方法就層出不窮[5-7]，基于不同檢測對象及不同檢測原理的入侵檢測系統被研制并投放市場，取得了顯著成效，然而，遺憾的是這些產品自成一體，相互間缺少信息交流與協作，而作為防范入侵的技術產品，這勢必削弱了它們的防范能力，因而如何使不同的入侵檢測系統構件能夠有效地交流合作，共享它們的檢測結果是當前亟待解決的一個問題。入侵檢測系統框架的標準化，數據格式的標準化[2]為解決這一問題作了一個有益的嘗試。本文主要針對入侵檢測數據格式的標準化——通用入侵檢測對象進行分析應用，并通過一個實際例子介紹了我們的具體實踐過程。

入侵檢測是指“通過對行為、安全日志或審計數據或其它網絡上可以獲得的信息進行操作，檢測到對系統的闖入或闖入的企圖”[2-4]。從技術上劃分，入侵檢測有兩種模型[2，4]：①異常檢測模型(AnomalyDetection)；②誤用檢測模型(MisuseDetection)。按照檢測對象劃分有：基于主機、基于網絡及混合型三種。

入侵檢測過程主要有三個部分[4]：即信息收集、信息分析和結果處理。

2通用入侵檢測對象(GIDO)

為解決入侵檢測系統之間的互操作性，國際上的一些研究組織開展了標準化工作，目前對IDS進行標準化工作的有兩個組織：IETF的IntrusionDetectionWorkingGroup(IDWG)和CommonIntrusionDetectionFramework(CIDF)。CIDF早期由美國國防部高級研究計劃局贊助研究，現在由CIDF工作組負責，是一個開放組織。CIDF規定了一個入侵檢測系統應包括的基本組件。CISL(CommonIntrusionSpecificationLanguage，通用入侵規范語言)是CIDF組件間彼此通信的語言。由于CIDF就是對協議和接口標準化的嘗試，因此CISL就是對入侵檢測研究的語言進行標準化的嘗試[8]。

CISL語言為了實現自定義功能，以S-表達式表示GIDO(GeneralizedIntrusionDetectionObjectis)，S-表達式以各類語義標識符(SemanticIdentifeers)為標記，分別有動作SID、角色SID、屬性SID、原子SID、連接SID、指示SID和SID擴展名等類型。其范式如下：

<SExpression>：：=’(<SID><Data>’)’

入侵檢測組件交流信息時，以GIDO為標準數據格式傳輸內容，GIDO所包含的內容常來自于各類審計日志，網絡數據包，應用程序的跟蹤信息等。

CISL對S-表達式編碼規則遵循遞歸原則，具體如下：

<SExpression>：：=’(<SID><Data>’)’

E[Sexpression]=length_encode(sid_encode(SID)E[Data])

sid_encode(SID)E[Data]

E[Data]=Simple_encode(SimpleAtom)

E[Data]=Array_encode(ArrayAtom)

E[Data]=E[SExpressionList]

E[SExpressionList]：：=E[SExpression]

E[SExpressionList]：：=E[SExpression]e[SExpressionList]

對于每一個GIDO的基本成份SID，CISL都有規定的編碼，通過這些編碼本身的信息可知這些SID是原子SID還是非原子SID。原子SID在編碼中不能繼續分解，而是直接帶有具體的值。值有簡單類型和數組類型[8]。

GIDO以各類SID為標志，組成樹形結構，根結點為該GIDO的標志SID，各子樹的根結點為相應的對該GIDO所描述的事件起關鍵作用的SID。編碼時，每棵子樹的根結點前附加該子樹所有孩子結點編碼的總長度，以遞歸方式完成GIDO編碼，一個詳細的實例可參考文獻[8]。

3通用入侵檢測對象的應用

我們以Linux環境為例，在檢測口令猜測攻擊中，系統的日志文件會產生以LOGIN_FAILED為標志的日志記錄[9-10]。在IDS的事件產生器中，讀取日志文件中含有LOGIN_FAILED的記錄生成GIDO。

例：Jul3108：57：45zd213login[1344]LOGIN_FAILED1from192.168.0.211FORJohnAuthenticationfailure。相應的GIDO為：

{Login

{Outcome

{ReturnCodeACTION_FAILED}

)

(When

(BeginTimeJul3108：57：43)

)

(Initiator

(IPV4Address192.168.0.211)

(UsernameJohn)

)

(Receiver

(Hostnamezd213)

))

其編碼過程除了遵循前面所描述的規則外，還使用了文獻[2]所建議的各類API。它們分別用于生成存放GIDO的空樹、向空樹附加根結點、附加數據、附加子樹及對整個樹編碼。

當一個GIDO由事件產生器完成編碼后，便發送至事件分析器按一定的規則分析所接收的GIDOs以便確定是否有入侵發生，若有則將有關信息發至控制臺。對口令猜測攻擊的GIDO，一個可行的處理流程如圖1所示。

假定系統檢測到30秒內發生了三次或以上登錄失敗，認為系統受到入侵，便發出相應報警信息。則本例輸出結果(從不同終端登錄)如圖2所示。

圖1對口令猜測攻擊事件產生的GIDO的處理流程

圖2一個口令猜測攻擊的模擬檢測結果

4結束語

本文在深入分析入侵檢測基本原理及入侵檢測說明語言CISL基礎上，對入侵檢測對象GIDO的編碼進行了詳細說明。在系統設計的實踐過程中，分別使用了入侵檢測標準化組織提出的草案中包含的有關接口。但在本文中也只是針對一類特定入侵的事件說明如何生成并編碼GIDOs。事實上，入侵檢測系統各構件之間的通信本身也需要安全保障，這一點參考文獻[8]，可利用GIDO的附加部分來實現，其中所用技術(諸如簽名，加密等)可借鑒目前一些較成熟的安全通信技術。

參考文獻

[1]DorothyE.DenningAnIntrusion-DetectionModel[J].IEEETransactionsonsoftwareEngineering，1987，13(2)：222-232

[2]蔣建春，馬恒太等網絡入侵檢測綜述[J].軟件學報2000.11(11)：1460-1466

[3]GB/T18336，信息技術安全技術安全性評估標準[S]。

[4]蔣建春，馮登國。網絡入侵檢測原理與技術[M]，國防工業出版社，北京，2001

[5]KumarS，SpaffordEH，AnApplicationofPatterMatchinginIntrusionDetection[R]，TechnicalReportCSD-7r-94-013，DepartmentofComputerScience，PurdueUniversity，1994。

[6]JstinDoak.IntrusionDetection：TheApplicationofaFeatureSelection-AComparisonofAlgorithmsandtheApplicationofWideAreaNetworkAnalyzer[R].DepartmentofComputerScience，Universityofcolifornia，Davis1992.

[7]DusanBulatovic，DusanVelasevi.AdistributedIntrusionDetectionSystem[J]，JournalofcomputerSecurity.1999，1740：219-118

[8]http：//gost.isi.edu/cidf

[9]葉和平.基于LINUX環境的入侵檢測系統研究[D]廣州中山大學2002

[10]周巍松LINUX操作系統分析與高級教程[M]，北京：機械工業出版社2000.3

入侵檢測對象應用

文檔上傳者

熱門文章排行

相關精選范文更多